リソースキーのハッシュ

リソースキーのハッシュは、Google がリソースの完全性を検証できるようにするメカニズムです。 ラップされた暗号鍵にアクセスできます。

リソースキーのハッシュを生成するには、以下を含むラップ解除された鍵にアクセスする必要があります。 DEK、resource_name、鍵で指定された perimeter_id ラップします。

暗号関数 HMAC-SHA256 を使用し、unwrapped_dek を鍵として使用し、 データとしてのメタデータの連結 ("ResourceKeyDigest:", resource_name, ":", perimeter_id)。 resource_name と perimeter_id は UTF-8 でエンコードされた文字列である必要があります。

たとえば、resource_name = "my_resource" の場合、 perimeter_id = "my_perimeter" と unwrapped_dek = 0xf00d: リソースキー ハッシュは

echo -n "ResourceKeyDigest:my_resource:my_perimeter" | openssl sha256 -mac HMAC -macopt hexkey:f00d -binary